Prävention schafft Sicherheit!

Die Ergreifung von Maßnahmen für einen zuverlässigen Datenschutz innerhalb von Organisationen geschieht nicht grundlos. Sie dienen der Absicherung gegen zahlreiche Risiken. Eines der Kernziele ist die Vermeidung von Verstößen gegen den Datenschutz, denn sollte solch ein Fall eintreten, müssen die Verantwortlichen mit ernsthaften Konsequenzen rechnen.

Noch immer gibt es zahlreiche Geschäftsführer und Entscheider, die sowohl Risiken auch Konsequenzen unterschätzen. Dabei kann es vergleichsweise leicht zu einem Datenmissbrauch oder zu einer anderen Form von Verstoß kommen. Aufgrund des meist erheblichen Einsatzes von Informationstechnologie besteht das Risiko, dass selbst kleine Fehler gravierende Folgen nach sich ziehen.

Beispiel: So schnell kommt es zum Verstoß

Ein typisches Beispiel für unabsichtlich begangene Datenschutzverstöße sind falsch aufgesetzte E-Mail-Verteiler. Es kommt vor, dass Unternehmen ihre Newsletter fehlerhaft versenden, indem sie sämtliche Empfänger sichtbar übermitteln.

Die Folgen eines Verstoßes gegen den Datenschutz

Bei einem Datenschutzverstoß drohen unterschiedliche Konsequenzen. Zunächst ist zu bedenken, dass bei Bekanntwerden eines Verstoßes gegen den Datenschutz eine Schädigung der Reputation droht. Ein solcher Schaden kann immense Auswirkungen haben, weil beispielsweise Kunden aufgrund dessen zu Mitbewerbern wechseln, oder Partnerunternehmen bestehende Kooperationen auflösen.

Zugleich drohen unmittelbare finanzielle Konsequenzen. Betroffene (z.B. Kunden oder Mitarbeiter) machen unter Umständen Haftungsansprüche geltend, die das Unternehmen teuer zu stehen kommen. Ergänzend drohen Bußgelder, die von Behörden verhängt werden. Gerade hier wird die Tragweite oftmals unterschätzt. Der Gesetzgeber hat in der DSGVO bewusst hohe Bußgeldgrenzen verankert, um damit die Umsetzung von Maßnahmen zum Datenschutz zu gewährleisten. Geschieht eine Datenpanne, ist man als Unternehmen verpflichtet, die Datenpanne binnen 72 Stunden an die Behörde zu melden. Nach Identifikation des Schadensausmaßes, muss die Behörde ein Bußgeld verhängen.

Darüber hinaus sind Anordnungen, welche die zuständige Datenschutzbehörde erteilt, denkbar. Solche Anordnungen können z.B. die weitere Datenverarbeitung teilweise oder gar vollständig untersagen.

Ein Blick auf die Bußgeldvorschriften

Sämtliche Einzelheiten rund um Verstöße und damit in Verbindung stehende Bußgelder sind in der DSGVO und im Bundesdatenschutzgesetz (BDSG) festgehalten. Einzelheiten in Bezug auf konkrete Sanktionen sind zum Beispiel dem §42 BDSG (Strafvorschriften) und §43 BDSG (Bußgeldvorschriften) zu entnehmen. Diese besagen, dass ein Verstoß gegen den Datenschutz mit einer Freiheitsstrafe von bis zu drei Jahren geahndet werden kann. Die Bußgeldvorschriften des BDSG benennen Verstöße, die mit bis zu 50.000 Euro geahndet werden können.

Es gibt zwei Gruppen von Bußgeldtatbeständen:

I. Nach Art. 83 DSGVO werden Tatbestände mit einem Bußgeld von bis zu 10.000.000 Euro (bzw. 2 % vom des gesamten Vorjahresumsatzes, falls höher) geahndet. Dies betrifft Verstöße gegen:

  • Pflichten der Verantwortlichen und der Auftragsverarbeiter (Art. 8, 11, 25 bis 39, 42 und 43)
  • Pflichten der Zertifizierungsstelle (Art. 42 und 43)
  • Pflichten der Überwachungsstelle (Art. 41 Absatz 4)

II. Bußgelder von bis zu 20.000.000 Euro (bzw. 4 % des gesamten Vorjahresumsatzes) drohen bei:

  • Verstoß gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß (Art. 5, 6, 7 und 9)
  • Verstoß gegen die Rechte der betroffenen Person (Art. 12 bis 22)
  • Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation (Art. 44 bis 49)
  • Verstoß gegen alle Pflichten gemäß den Rechtsvorschriften der Mitgliedsstaaten, die im Rahmen des Kapitels IX erlassen wurden
  • Verstoß gegen eine Anweisung oder eine vorübergehende oder endgültige Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde (Art. 58 Absatz 2)
  • Nichtgewährung des Zugangs (Art. 58 Absatz 1)
  • Verstoß gegen eine Anweisung der Aufsichtsbehörde (Art. 58 Absatz 2)

Fazit: Datenmissbrauch und anderen Verstößen gezielt vorbeugen

Angesichts der zahlreichen Risiken ist es entscheidend, die Prozesse innerhalb der Organisation hinsichtlich ihres Datenschutzes und ihrer Datensicherheit abzustimmen und zu überwachen. Ein professionell installierter Datenschutz stellt sicher, dass es gar nicht erst zu Verstößen kommt.

Hierfür ist es erforderlich, maßgeschneiderte Lösungen zur Absicherung zu ergreifen und (je nach Größe des Unternehmens) einen Datenschutzbeauftragten zu benennen. In Abhängigkeit von der jeweiligen Ausgangssituation sowie bei Änderungen der Prozesse kann es außerdem hilfreich sein, eine ergänzende Datenschutzberatung in Anspruch zu nehmen.

Fragen & Antworten zum Thema

Was bedeutet Datenmissbrauch aus Sicht des Betroffenen?

Opfer von Datenmissbrauch sind unterschiedlichsten Folgen ausgesetzt. Angenommen es liegt ein Identitätsdiebstahl vor und die Kriminelle haben im Namen des Opfers eingekauft, sieht dieses sich Zahlungsaufforderungen konfrontiert.

Wie können sich Verbraucher vor Datenmissbrauch schützen?

Entscheidend ist ein bewusster Umgang mit den eigenen Daten. Diese sollten z.B. nicht an zweifelhafte Anbieter übermittelt werden. Sollten relevante Dokumente (z.B. der Personalausweis) gestohlen worden sein, empfiehlt sich eine unmittelbare Anzeige bei der Polizei. So kann es im Ernstfall leichter fallen, die eigene Unschuld zu belegen.